Архив рубрики: Безопасность

Nikto — open source сканер

Nikto — open source сканер, который осуществляет всеобъемлющее тестирование веб-серверов на уязвимости, в том числе проверяет наличие более 6500 потенциально опасных файлов и CGI, определяет устаревшие версии более 1250 различных веб-серверов, а также отображает специфические проблемы для более чем 270 версий серверов. Сканер также определяет типичные ошибки в конфигурации веб-сервера, в том числе наличие нескольких индексных файлов, опции HTTP-сервера, после чего пытается составить максимально полный список версий программ и модулей на сервере. Список сканируемых объектов в Nikto реализован в виде подключаемых плагинов и часто обновляется (эти плагины не являются open source).

Читать далее

ZAP — инструмент комплексного анализа веб-сайтов на уязвимости

ZAP представляет собой простой в использовании инструмент всестороннего анализа веб-сайта на уязвимости, включающий в себя такую функциональность как перехватывающий прокси для отслеживания коммуникаций между браузером и веб-сайтом в реальном времени, активный и пассивный сканеры на множество известных уязвимостей, сканер портов, бот, позволяющий определить структуру сайта, и фуззер для проверки корректности обработки непредвиденных данных. Приложение способно работать с HTTPS-соединениями в роли прокси (при наличии сертификата), имеет поддержку скриптинга и смарт-карт.

Читать далее

chattr, chflags и неудаляемые файлы

Как защитить файл от удаления из-под root’a? Ведь root может удалить любой файл? Или не любой? Оказывается, и здесь есть небольшая защита от дурака.

Создатели файловых систем позаботились о том, что бы добавить возможность выставить дополнительные флаги на файлы или папки, которые бы ввели дополнительную защиту:

— нельзя удалить файл (неважно под каким пользователем это делать)
— можно только дописывать/добавлять, но не изменять или удалять

а так же много других возможностей. Напомню, что это свойство файловой системы, а не ОС, поэтому, не для всех ОС эти свойства применимы

Читать далее

Убираем информацию о версии из web-сервера

Что бы добавить работы взломщикам 🙂 уберём из заголовков (запрос get HEAD / HTTP/1.0) информацию о версии нашего web-сервера. Естественно, что информацию о самом web-сервере таким образом убрать не удастся (зато можно изменить или убрать, поправив исходники).

Читать далее

Повышаем безопасность

Частенько системные администраторы не отдают должное безопасности, а зря. Пусть даже это не важный сервер, но тем не менее, однажды он может стать зомби в каком-нибудь ботнете, который будет кого-то DDoS’ить или распространять malware.

Предлагают вашему вниманию рассмотреть какие следует предпринять меры для предотвращения этого:

Читать далее

Блокируем подбор паролей в pf стандартными средствами

PF — очень мощный инструмент и в его арсенале имеются штатные средства для блокировки паролей. И так нужна такая конструкция:

table <badhosts> persist
...
block drop in quick on $ext_if from to any label "ssh bruteforce"
block drop out quick on $ext_if from any to label "ssh bruteforce"
...
pass in quick on $ext_if proto tcp from any to ($ext_if) port 22 flags S/SA keep state (max-src-conn-rate 1/60, overloadflush global)

Читать далее

[pf] Файервол packet filter

Обновлена 23.06.2016

Введение.

Пару слов о самом pf. Пакетный фильтр (далее PF) OpenBSD предназначен для фильтрации TCP/IP трафика и трансляции адресов (NAT). PF так же способен нормализовать и преобразовывать TCP/IP трафик, управлять приоритетами пакетов и пропускной способностью. PF был включен в ядро GENERIC OpenBSD, начиная с OpenBSD 3.0. Предшествующие версии OpenBSD использовали другой файрвол/NAT пакет, который более не поддерживается. Позже он портировался на FreBSD (начиная с 5.3) и Solaris (начиная с Oracle Solaris 11.3)

Читать далее

sshit: удобный блокировщик для pf

Расскажу ещё про один блокировщик подбора паролей. Теперь он будет работать в паре с pf. Сам sshit представляет собой скрипт на языке perl со всеми вытекающими отсюда последствиями. То есть, при наличии необходимых знаний языка perl вы можете нелету (а именно так он и работает) изменять сам скрипт. Это же (то есть налету) можно делать и с конфигурационным файлом.

Примечание: для OpenBSD его так же можно использоват, не смотря на то, что его нет в репозитариях. Учитывая что это скрипт на perl’e — просто скопируйте себе этот бинарник и конфиг и следуйте указанием в статье. Единственное отличие — это то, что в OpenBSD в syslogd нету флага ‘-c’.

Читать далее

Защита от флуда, DDoS’a, повышение производительности

В статье будет рассмотрен тюнинг системы при помощи sysctl. Так же защита от разного рода сканнирования, DDoS’a.

Все значения используйте на свой страх и риск.

Читать далее